정부와 민관이 실제 운용망을 대상으로 모의해킹, 보안취약점 파악에 나선다. 대한민국 19세 이상 국민이면 누구나 모의해킹에 참여할 수 있다. 지난해 통신사 해킹 등 대형 보안사고에 이어 '미토스 쇼크' 등 AI(인공지능)로부터의 보안위협이 가시화됨에 따라 선제적으로 보안강화에 나섰다.
28일 국가AI전략위원회, 과학기술정보통신부, 국가정보원, 한국인터넷진흥원(KISA)은 안전하고 투명한 보안생태계 구축을 위해 국내 최초로 '보안 취약점 신고·조치·공개(CVD/VDP) 제도 시범사업'을 추진한다고 밝혔다.
기존 모의해킹은 공공기관·민간기업 등에서 일시적으로 만든 제품이나 가상망을 대상으로 했다. 그러나 이번에는 실제 기업·기관이 운용하는 홈페이지나 네트워크가 대상이다. 이번 시범사업에 참여할 정보보호 연구자, 즉 화이트해커들은 해당 홈페이지나 망 등에 대해 365일, 24시간 취약점을 탐색(VDP)하고 취약점을 발굴·신고하면 해당 기업이나 기관이 조치 이후 공개(CVD)하게 된다. 이 제도는 이미 미국·유럽 등에서 널리 운용되지만 국내에선 처음이다.
시범사업 참여기관은 총 15곳으로 민간기업 7곳과 정부기관 8곳이다. 이동통신사 중에서는 LG유플러스, 게임사는 넥슨과 NC, 금융·핀테크(금융기술)기업은 토스페이먼츠·삼성생명, 보안업체 중에서는 이스트시큐리티·잉카인터넷이 참여한다. 그중 넥슨은 홈페이지와 과금시스템을 비롯해 마비노기, 메이플스토리, FC온라인 등 인기 게임 홈페이지까지 광범위하게 화이트해커의 취약점 탐색활동을 허용했다. 정부기관은 행정안전부, 건강보험심사평가원, 한국전력 등이 참여한다. 화이트해커는 대한민국 국적을 보유한 19세 이상이면 누구나 참여 가능하다. 다만 혹시 모를 개인정보 유출, 망운용 저해 등 피해를 방지하는 차원에서 취약점 탐색 허용 사이트와 범위를 제한하고 사전 윤리교육, 정책준수서약 등 보완장치를 마련했다.
정부는 이번 시범사업을 계기로 내년부터 '보안 취약점 신고·조치·공개' 제도를 본격 추진한다. 정부는 지난해 10월 '정보보호 종합대책'에 이어 올해 2월 AI전략위 보안특위에서 '국내 보안 취약점 신고·조치·공개 로드맵'을 수립하는 등 해당 제도의 국내 도입을 추진해왔다.
AI전략위 관계자는 "실제 사용 중인 망이나 홈페이지를 대상으로 취약점을 탐색하는 사례는 국내에서는 처음"이라면서 "기존 모의해킹은 가상의 망에서 이뤄졌는데 사고는 실제 사용하는 망에서 벌어진다. 감사하게도 기업과 기관이 협조해 시범사업을 하게 됐다"고 설명했다.
과기정통부는 29일부터 6월12일까지 2주간 홈페이지(www.cvdvdp.kr)에서 화이트해커를 모집한다. 이후 참가자 교육과 승인절차를 거쳐 6월부터 5개월간 취약점 탐색활동이 이뤄진다. 발견된 취약점과 조치결과는 연말에 공개하고 취약점을 발굴한 우수 화이트해커들은 총 16점의 상장과 2000만원 규모의 상금을 받게 된다.